第一部分我可以稍微總結一下，我覺得這是我們兩個比較關注的體系，但是大家找咨詢公司做咨詢體系的時候，你往往會被咨詢公司帶到別的體系上面去，比如說30001，最后就發現做不了，因為做的是全公司的業務連續性。還有幾個相關的體系，大家也可以逐步的去了解一下，但是一定要抓住根本。哪方面的專家就會愿意夸大哪方面的事情，但是多多少少這些體系都會相關到。

現在我們的數據資產有一個很大的變化，導致我們的信息安全也發生了很大的變化，也就是說信息安全的變化并不是獨立發生的，當然我們也可以說因為政府強調網絡安全，我們的信息安全順便蹭個熱點，能問老板要到一點錢。但是它有一些本質的東西，我們回顧一下信息化階段有什么特性呢？我們做了很多流程系統，但是它和我們核心價值鏈的關系應該說不是那么緊密，它不是直接對公司來說掙錢的。當然現在我們有很多企業數字化已經做了一些東西，它要么直接為企業帶來掙錢的東西，要么可以省掉錢，這個就有機會到了核心價值鏈上。但是在信息化階段的時候，我們可能還是輔助性質的，也就是我們要讓管理透明化。所以所做的這些事情和業務之間還有一個隔閡，在看全業務的角度，我們會發現這些信息系統也都是待在公司的網絡里的，沒有出門，待在家里的有保護屏障的。雖然有大門到internet上去 也有很多公司加鎖，所以還是安全的。

現在我們的業務要到互聯網上，如果我們做的系統還是待在家里的，其實就沒有太大的變化。但是如果我們待在家里，我們就不能夠從互聯網這個大的經濟體里去獲得更大的價值。我們要把應用搬出去給到移動設備去用，而這些移動設備是給消費者使用的。這個過程真正的作用是說，我們要把企業里的價值一直交付到消費者手里，所以你必須在互聯網上進行交付。而互聯網為什么能夠支持這種交付呢？因為它經歷了幾個過程，它從一個互聯的1．0、2．0、3．0，也就是從PC聯網、到移動聯網、到互聯網，還經歷了互動的1．0、2．0、3．0，原來的網頁到關注到點評到現在的社區。互聯網的特點帶來一個可能性，讓產品服務和客戶服務直接交付，這樣你就知道客戶需要什么，你就能夠把客戶的需要帶進公司里來，生成價值之后再交付給他。

基于互聯網這樣的一個特點，我們在原來的實體產業里面，我們就要向數字產業去邁進。而同樣的在數字產業里原生出來的企業，它雖然在那里已經圈了大片的地，但是它還是要往我們的實體經濟滲透。最后讓數字經濟和實體經濟匯集成一個閉環，這個閉環是什么呢？就是我們的客戶需求和我們的價值生成過程不斷的循環。正因為這樣的一個趨勢，所以我們相應的信息安全也發生了一個變化，早期我們是保護靜態資產，我們企業有設計、有圖紙，這是我們要保護的。但是接下來你必須要考慮的是，因為現在有一個界面一定是在互聯網上的，如果你不在互聯網上有一個你的產品界面或者服務界面，用戶就看不到你。不管是To C的還是To B的，這個時候意味著你必須要邁出家門，你保護的東西就發生了變化，至少它是在圍墻外面的。

再往后，如果我們進一步延伸，如果我們的服務能夠直接作用到消費者甚至對他的人生價值產生影響，這個價值是巨大的，它的風險也是巨大的，因為它一定是在互聯網上的。這時候就會發現這個價值是往右手邊，大家的右手邊是價值生成的源泉，那里可以有柴米油鹽醬醋茶，還可以有琴棋書畫詩酒花，這個價值影響是巨大的。整個價值鏈的過程延展到了外面，而有利的地方是人人趨之若鶩的地方。信息資產和數據資產都在往外移、往互聯網上移，保護在家里的可能是一些基本的東西或者后盾的支撐供應鏈運作的，而和消費者相關的、和客戶相關的都是在往互聯網上移的，至少這些信息和數據都是往外流動的才有價值。

我稍微說一點概念，就是我們傳統意義上說的信息安全指的是我們內部的、內網的，而且它對應的業務是公司的信息資產，就是核心知識產權。當你跟客戶交易的時候，這個時候開始提數據安全，當然我們也對著數據安全來做公司的工作，但是后來我們的項目失敗掉了，把這些數據挖出來做數據安全太費勁了，但是我覺得數據安全的點是在交易數據。這個時候把數據帶出來，再后面被習大大說成網絡安全是國家戰略，為什么是國家戰略？因為在那個虛擬世界里，它是一個全新的價值網絡，這個價值網絡就像一片新大陸，大家都要沖進去，當然都希望在里面定規則。所以不僅我們有網安法，到處都有網安法，GDPR，大家都在里面爭取定規則的權利。同時企業之間也想在這當中謀利，這就導致信息安全的整個意義會有所轉變，也就是說它總是往價值鏈上面價值大的地方去傾斜。

總結一下我們過去這么多年的實戰當中的要點，供大家參考，這也不是很全面的，只是我覺得當時確實有很多迷惑的地方。第一，我們還是看一下全局，在這個全局里除了我剛才介紹的，我們要做風險的管控，補救措施，而這個風險大家會發現也有一些變化，在左邊我們可能更強調的是一個成本投入，就是我們要消減風險。而在右邊是風險大、收益大，有錢能使鬼推磨，你可以到右邊的互聯網世界里，有的人真的想違法，冒一點風險，不僅是黑客，當時法律也沒有規定，企業可不可以把用戶的數據賣掉，做一些謀利的事情，這個時候法律應運而生。其實《隱私法》一直沒有推出，因為我們是合資公司，在外企都特別強調隱私保護，在我們這兒覺得好像沒有關系，所以這件事情一直沒有做起來。但是現在不一樣了，法律是應運而生的，包括5月16日出臺的2．0，它一方面可以幫助我們企業提升我們的水準，一方面它也是要抓壞人的，我們不能做壞人，或者說做壞人風險大，但是也可能回報大，這時候需要平衡一下。

還是回到我們的信息安全保護的基本方法論上，那就是我的題目，你要做必須要做亡羊補牢的事情，不能不做，不能出了問題也不管。但是還是要做風險識別這個事情，這兩件事情是不分先后的，它們是互為因果的。我們做亡羊補牢的事情以后，可能會更加幫助我們意識到哪里的風險更大，已經發生的事情風險概率是100％，你從風險里面發現出來的風險一定要把它補牢。你以前養乖乖羊，后面養千里馬，它肯定是要往外面跑的。

這里還有一個責任，這也是我的自身體會，監管責任和主體責任基本上是不分的。還有安全服務，這個也要做一定的界定。在資產識別上面有很多問題，比如ERP系統是不是資產，防病毒是不是信息資產，這涉及到對信息資產識別的時候的顆粒度問題，要把它看成一棵樹。從你的應用、從你面向客戶的服務開始，比如說電商，你要把電商拆解到一系列的資產上面來，這才是一個資產，一個軟件、一個版本就是資產。有一個樹狀結構，一定要做合并同類項，因為對同樣的問題它的風險比較類似。網絡基本上都被合并成內網、外網。

另外是主體責任，大家要記住主體責任。剛才說誰主管誰負責、誰運行誰負責、誰使用誰負責，看你能不能跳到主管監管責任，但是監管責任也很重大，如果你沒有監管到或者沒有導入一個有效的方法論讓整個企業運作起來，監管責任可能更加重大。如果有能力，對主管部門提供一定的服務，當然要量力而行。這是三道防線。

最后是措施，技術＋流程＋責任意識，不是一般意義上的意識，我的安全意識很強是沒有用的，安全意識很強，出了事情都不是我的事情就沒有意思。我們的技術手段現在有一些趨勢上的變化，但是在做這么多事情的時候，一定要記住兜底的方案，小朋友都知道服務器倒了重新恢復的是最高優先級的，這個是保證能睡覺的方案，是要最先做的，也就是容災這個事情一定是最先做的。就算不做也要跟老板說清楚，我是管不了地震的，我是管不了洪水的，這個話是一定要去說的，不然的話隨便你發生什么事情的時候都是你的問題。

最后一頁是未來的展望，我覺得我們企業的可能從原來的泥巴里或者圍墻里走出來，在整個互聯網的世界里投入一個APP，把我們的價值實現點植入到互聯網里面去。它的構成一定是IaaS、PaaS、SaaS的結構，其實我個人非常不認同混合云，不要拍我，這是我個人的觀點。我們要把我們的價值延伸到互聯網的世界里去，它在那里面和我們的客戶接觸到，然后再反饋回來，帶動我們的整個供應鏈。所以信息安全要按照這樣的一個思路去梳理，找到自己的工作重點。謝謝大家！